Aktivitas ilegal di internet beberapa bulan terakhir terlihat telah terjadi beberapa perubahan dalam pola serang dan metode distribusi malware seperti saat mereka mulai berani merambah ke media sosial mencari korban baru dengan memanfaatkan file gambar SVG untuk mengelabui pengguna Facebook.
Memang benar mereka masih terus mempertahankan metode penyebaran konvensional melalui email spam berisi lampiran berbahaya executable ransomware. Namun selama ini mereka seringkali menggunakan file JS sebagai trik memasukan malware ke komputer korban.
Keadaan ini disadari sepenuhnya oleh para kriminal dunia maya bahwa satu cara yang sama tidak akan efektif dalam waktu yang lama, cepat atau lambat pasti ditemukan penangkalnya. Karena itu mereka mencoba cara baru agar setidaknya mereka punya alternatif lain dalam melakukan serangan dan penggunaan file gambar SVG adalah salah satunya.
SVG dapat membawa muatan JavaScript
Selama bertahun-tahun JavaScript sudah menjadi darah daging bagi penjahat siber untuk berbagai kegiatan ilegal di dunia maya, melalui malvertising dan drive by download, JavaScript telah menjadi serangan yang berbahaya dan banyak memakan korban.
Tahun lalu misalnya, JavaScript telah menjadi salah satu metode yang paling sering digunakan untuk menginfeksi komputer dengan malware. Penjahat siber biasanya menyembunyikan dan mengemas JavaScript file (.js) sedemikian rupa dalam file ZIP dan mengirim file melalui email sebagai lampiran.
Gmail dan sebagian besar penyedia email mampu melihat kehadiran JS dalam arsip ZIP kecuali dilindungi oleh password. Kondisi ini membuat rentan keamanan penerima email dan berpotensi merugikan pengguna, situasi inilah yang menjadi alasan Gmail melarang JS dalam layanan mereka, di sisi lain aturan baru ini memaksa spammer harus beradaptasi atau menemukan cara baru.
Cara baru untuk menggantikan cara yang telah usang, dan SVG menjadi kandidat terbaik saat ini untuk menggantikan file JS karena file gambar ini ternyata mampu mengeksekusi muatan JavaScript dengan sama persis. Sehingga penjahta siber hanya perlu mengemas ulang attachment mereka dan memindahkan kode mereka dari satu file ke file yang lain kemudian beraksi kembali. Bahkan penggunaan SVG lebih baik dari ZIP, karena secara default pada Windows, file SVG akan berjalan di Internet Explorer yang merupakan media yang sempurna untuk mengeksekusi JS berbahaya.
SVG dan Malware
Pada tahun lalu, kita semua bisa melihat bagaimana file SVG digunakan untuk pengiriman malware. Misalnya, pada akhir November, tentu kita masih ingat operasi spam file SVG yang masif dilakukan di Facebook menyebar file gambar ini untuk menjebak pengguna yang awam untuk mengkliknya.
Ketika pengguna mengklik untuk membuka gambar, mereka diarahkan ke situs klon YouTube yang meminta mereka untuk menginstal ekstensi Chrome berbahaya, yang mampu mencuri kredensial browser mereka. Dan yang paling menakutkan adalah bagaimana file SVG ternyata menjadi penyebar ransomware Locky yang sudah cukup lama menjadi momok di antara pengguna internet.
Laporan terakhir dari peredaran file SVG ditemukan bahwa file ini kembali dimanfaatkan melalui email dengan attachment ZIP yang berisi file SVG, yang saat dijalankan memuat halaman IE yang mencoba mengelabui pengguna agar mengunduh file EXE. File EXE ini apabila diinstal akan mengaktifkan trojan perbankan Ursnif.
Kembali kita bisa melihat bagaimana pengembang malware berimprovasi untuk meningkatkan serangan dengan mengubah-ubah strategi penyebaran malware, kadang mereka memasukkan ransomware, di lain kesempatan menyisipkan trojan perbankan. Yang lebih berbahaya lagi adalah saat mereka mengkolaborasikan ransomware dan trojan perbankan dalam satu serangan untuk mendapatkan keuntungan berlipat ganda, dan pola ini sudah berjalan sejak tahun lalu.
Bagi pengguna komputer yang kuatir atau takut dengan serangan melalui email spam yang disisipi file SVG ada baiknya menggunakan Mail Security yang mampu mendeteksi email-email nakal yang menyembunyikan malware berbahaya seperti trojan dan ransomware, cara ini lebih mudah diaplikasikan dan tidak usah repot-repot memilah sendiri semua email yang masuk, bayangkan saja ada berapa banyak email yang masuk ke sebuah perusahaan besar dalam sehari, untuk perusahaan kecil saja puluhan sampai ratusan email, jadi sangat tidak efektif bila dilakukan secara manual. Karena itu untuk lebih efektif dan efisien, ESET memiliki apa yang disebut dengan ESET Mail Security yang mampu mendeteksi jauh sebelum masuk ke sistem, dapat di atur untuk bekerja sesuai kehendak pengguna, selain itu pengguna bisa melihat isi email yang dicurigai berisi malware tanpa takut terinfeksi.
Sumber utama
www.bleepingcomputer.com
